Apache Shiro 简介

Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。Shiro的优势在于轻量级，使用简单、上手更快、学习成本低。

Shiro反序列化原理：Apache Shiro框架提供了 RememberMe 功能，用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后，Base64解码–>AES解密–>反序列化。因此攻击者只要找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化–>AES加密–>Base64编码，然后将其作为cookie的rememberMe字段发送，Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

在 Apache Shiro<=1.2.4 版本中 AES 加密时采用的 key 是硬编码在代码中的，这就为伪造 cookie 提供了机会。只要 rememberMe 的 AES 加密密钥泄露，无论 shiro 是什么版本都会导致反序列化漏洞

Shiro-550（CVE-2016-4437）

特征：返回包中包含rememberMe=deleteMe字段。

影响版本：shiro<1.2.24

环境搭建

git clone https://github.com/apache/shiro.git
cd shiro
git checkout shiro-root-1.2.4

注意导入代码部署的文件夹是samples/web，不是web。

从蓝队流量角度分析Shiro-550反序列化漏洞插图

打开shiro-shiro-root-1.2.4/pom.xml文件，并把jstl依赖版本改为1.2

从蓝队流量角度分析Shiro-550反序列化漏洞插图1

使用IDEA打开项目，选择shiro-shiro-root-1.2.4文件夹，最后点击OK

从蓝队流量角度分析Shiro-550反序列化漏洞插图2

IDAE会自动下载依赖项，下载完成后编辑运行配置，设置为Tomcat本地服务器运行，然后JRE选择Java8版本

从蓝队流量角度分析Shiro-550反序列化漏洞插图3

然后点击部署，工件选择samples-web:war或 samples-web:war exploded

从蓝队流量角度分析Shiro-550反序列化漏洞插图4

最后点击运行即可，出现下面界面即代表配置成功

从蓝队流量角度分析Shiro-550反序列化漏洞插图5

漏洞分析

加密流程分析

首先，分析Apache官方通告(https://issues.apache.org/jira/projects/SHIRO/issues/SHIRO-550?filter=allissues)提到CookieRememberMeManager，以此为入口点进行分析。

从蓝队流量角度分析Shiro-550反序列化漏洞插图6

CookieRememberMeManager继承AbstractRememberMeManager

从蓝队流量角度分析Shiro-550反序列化漏洞插图7

AbstractRememberMeManager实现了RememberMeManager接口中的多个方法，主要是密钥、加解密、序列化/反序列化相关功能。另外包括登录成功、失败的处理，查看调用发现在DefaultSecurityManager中

从蓝队流量角度分析Shiro-550反序列化漏洞插图8

DefaultSecurityManager是登录处，只要登陆都会经过这里的Login方法，从这里开始分析。在这里下个断点，然后authenticate方法验证凭证的正确性，如果不正确就不走下面的onSuccessfulLogin方法：

从蓝队流量角度分析Shiro-550反序列化漏洞插图9

F7步入后，F8步过forgetIdentity，if判断中的isRememberMe方法判断是否勾选RememberMe，如果没有就不走rememberIdentity，rememberIdentity是加密的关键方法：

从蓝队流量角度分析Shiro-550反序列化漏洞插图10

F7进入rememberIdentity方法，调用getIdentityToRemember()，作用就是获取用户名赋值给 principals。然后继续F7进入rememberIdentity方法：

从蓝队流量角度分析Shiro-550反序列化漏洞插图11

从蓝队流量角度分析Shiro-550反序列化漏洞插图12

从蓝队流量角度分析Shiro-550反序列化漏洞插图13

进到convertPrincipalsToBytes方法，会序列化principals对象，也就是登陆名称root字符串。

从蓝队流量角度分析Shiro-550反序列化漏洞插图14

往下走，就到了加密的函数位置，会上步骤中序列化principals对象进行加密处理。getCipherService()获取加密方式AES/CBC/PKCS5Padding

从蓝队流量角度分析Shiro-550反序列化漏洞插图15

从蓝队流量角度分析Shiro-550反序列化漏洞插图16

在下一行代码的if判断中通过getEncryptionCipherKey进行获取密钥进行加密，那么重点分析下这段代码逻辑：首先进入getEncryptionCipherKey(其实所有功能都在AbstractRememberMeManager文件中)

发现getEncryptionCipherKey函数中直接返回了一个encryptionCipherKey属性值，也就是密钥。

从蓝队流量角度分析Shiro-550反序列化漏洞插图17

encryptionCipherKey属性是AbstractRememberMeManager中定义的一个私有属性

从蓝队流量角度分析Shiro-550反序列化漏洞插图18

那么需要找到赋值的位置，在setEncryptionCipherKey方法中

从蓝队流量角度分析Shiro-550反序列化漏洞插图19

继续找调用setEncryptionCipherKey的位置，发现在setCipherKey方法中

从蓝队流量角度分析Shiro-550反序列化漏洞插图20

继续找调用setCipherKey的位置，发现在构造方法中

从蓝队流量角度分析Shiro-550反序列化漏洞插图21

构造方法的setCipherKey传参了一个属性值DEFAULT_CIPHER_KEY_BYTES，该值即加密密钥，直接默认固定写死在代码中。

从蓝队流量角度分析Shiro-550反序列化漏洞插图22

最终可以顺推一下密钥生成获取的流程。

从蓝队流量角度分析Shiro-550反序列化漏洞插图23 在回到getDecryptionCipherKey获取密钥的位置，进入encrypt函数传参密钥和原始明文进行加密

从蓝队流量角度分析Shiro-550反序列化漏洞插图24

encrypt函数中首先随机生成16位的IV。

从蓝队流量角度分析Shiro-550反序列化漏洞插图25

从蓝队流量角度分析Shiro-550反序列化漏洞插图26

获取到IV后回到encrypt函数中执行encrypt函数执行加密处理

从蓝队流量角度分析Shiro-550反序列化漏洞插图27

加密原始明文数据，并将IV拼接到加密后的数据前16位

从蓝队流量角度分析Shiro-550反序列化漏洞插图28

到此加密流程已经结束，回到rememberIdentity方法中，会进入rememberSerializedIdentity方法，F7步入会跳到AbstractRememberMeManager的子类CookieRememberMeManager中，其实现了rememberSerializedIdentity方法。此方法会将上步骤中的IV和加密数据进行BASE64编码后存入Cookie字段的rememberMe中。

从蓝队流量角度分析Shiro-550反序列化漏洞插图29